/MEGOLDVA/ Ügyfélkapu+

Közösségi kerekasztal

Az MI ezt dobta:

Az Ügyfélkapu 2025. január 16-tól már nem lesz használható a hagyományos módon. Ehelyett két lehetőség áll majd rendelkezésre az elektronikus ügyintézéshez:

  1. Ügyfélkapu+: Ez egy kétfaktoros azonosítást alkalmazó rendszer, amely már most is elérhető. A regisztráció során hitelesítő alkalmazás (pl. Google Authenticator vagy NISZ Hitelesítő) használatával QR-kódot kell beolvasni. Az Ügyfélkapu+ biztonságosabbá teszi az ügyintézést, és új funkciókat kínál, például valós idejű értesítéseket és központi dokumentumtárat.

A második a DÁP. A hozzáértőket kérdezem, hogy mennyire biztonságosak a hitelesítő appok? Kikik ellenőrzik az appokat biztonság tekintetében? Valahogy nem tudok megbízni egyik olyan szoftverben sem, amit az államapparátus erőltet ránk. 

Mondjuk az egy másik izgalmas kérdés, hogy akinek nincs okos mobilja, az számkivetett lesz?

keepassxc használata megoldás.

( neutrino v | 2024. 11. 16., szo – 08:04 )

Szerkesztve: 2024. 11. 16., szo – 08:04

Jézus...

Azért mert van rá lehetőséged, még nem kéne témákat nyitogatni.

Aláírás _Franko_ miatt törölve. 
RIP Jákub.
neut @

Bocsánat, de hadd védjem meg kikepzo fórumtársat:
- Ő legalább szakmai topicokat nyit, nem politikait, nem flame-t.
- Témái általában vidám perceket okoznak a tapasztaltabb IT kollégáknak. Amolyan "stand up comedy by HUP". (kikepzo ne értsd félre, nem támadásból, nem gúnyolódásból írom)
- Az ifjú padavanok (akik általában nem mernek megszólalni, kérdezni) is tanulhatnak a topicokból.
- Én speciel hiányolni szoktam a topicjait 2-3 hetente. Amíg nem nyit naponta új témát, addig nem érzem drámainak a helyzetet.

Véleményem szerint.

( arpi_esp v | 2024. 11. 16., szo – 08:08 )

keepassxc tud totp-t es az opensource, offline app. telefon se kell hozza.

mondjuk egy necces dolog van a hw-es cuccal, az ora. mennyi idonkent kell (es hogy lehet) ujra beallitani? vagy mennyire pontos? ugye itt max par masodperc elteres ami belefer!   telonal vagy yubikeynel ez nem gond de egy offline onallo cuccnal igen

persze ennel tobb is kezelheto de akkor a szervernek kell kovetnie kliensenkent a clock skew-et es korrigalnia.

"ugye itt max par masodperc elteres ami belefer"

1 perc lesz az inkább. Amiket én ismerek TOTP szerver oldali megoldásokat, azok 3 db kódot fogadnak el egy adott pillanatban. Az aktuálisat, az előzőt (-30 mp) és a következőt (+30 mp). Ezen belül kell lennie a generáló eszköz órájának.

ez implementacio/beallitas fuggo, lattam en mar +-300 secet is es olyat is ami csak 1 kodot fogad el.  nyilvan a kerdes ebben az esetben az lenne, hogy az ugyfelkapu+ hany kodot fogad el ? illetve hogy a kivalasztott hw token oraja mennyire pontos? ha csak napi 5 masodpercet siet/kesik, akkor is 2 het utan ba..6od. ha napi 1 secet akkor 2 honap utan. pedig ezeket tobb evre veszik ugye.

hat igaz kb 15 eve foglalkoztam hw fejlesztessel, ott igeny volt hogy a panelen legyen egy pontos offline ora, mivel penzugyi tranzakciokat is kellett logolni az eepromba. akkoriban megneztuk sok gyarto rtc chipjeit, es ilyen 3-5 sec volt a vallalt napi pontossaguk kulon homerseklet kompenzacio nelkul. persze a gyakorlatban ennel valamivel jobban voltak de eleg nagy volt a szoras, es eleg nehez volt olyan megoldast osszerakni ami 1 honap alatt nem csuszott el perceket. ma mar mindenki elkenyelmesedett mert a netrol konnyu idot szedni, de offline a mai napig nem megoldott tudtommal a nagy pontossagu, homerseklet-fuggetlen idomeres.

Havi 12-15s mindenféle termikus kompenzáció, vagy hőntartás nélkül megoldható, lehet a kristályoszcillátort szándékosan 32768Hz fölötti frekvenciára hangolni, _és_ összehasonlító méréssel kalibrálni kvázi szoftveresen: adott ideig együtt járatják egy nagy pontosságú órával, amiből meg lehet határozni, hogy hány órajelciklusonként kel egyet kihagyni, hogy pontos legyen - ezt az értéket beégetik az elektronikába, stb.

igen ezeket en is tudom, mi is kalibralgattuk de az nagyon maceras tomeggyartasnal/bergyartasnal, es az sem biztos hogy utana hasonlo hofokon fogjak hasznalni/tarolni mint ahol kalibralva lett. a hontartas pedig nem megoldhato (gomb)elemrol.

es a havi 15s is sok lehet egy TOTP-hez, 2 honap alatt kicsuszik az idoablakbol.

Az RSA SecurID (az is időalapő OTP, nem tudom, mennyire követte a szabványt, ott a tokenbe valami három év volt bedrótozva, utána garantáltan megszűnt működni. A hasonló elven működő Safenet tokeneknél nem nagyon emlékszem hardveres limitre, úgy emlékszem, ennél tovább használtuk, és nem volt gond vele (vagy legalábbis azzal, amit én kaptam).

Szerk: Digipasst is használtunk több éven át, ott se fordult elő szinkronizálási gond - legalábbis nálam, de nem is hallottam másoktól sem.

Már kinek ne lenne így 2025-re okostelója? A hajléktalanoknak is van évek óta. Már tényleg csak annak nincs, aki technofób, technológiának ellenálló, alusipkás. Mindenki másnak van, 10-100 éves korig. Aki ellenáll, az meg ne keresse a kifogásokat, hogy ízé, neki nincs, mást nem hibáztathat érte. Írom ezt úgy, hogy én se vagyok az okostelók nagy híve, meg hogy minden szart már csak külön appal lehet intézni, meg mindenhez QR kódot kell olvasgatni, de nem próbálnék ellenállósat játszani, ma már annyira kell mindenhez. Még mindig inkább ez, mint hivatalokban időpontot foglalgatni, vagy sorszámot tépve órákon át sorban állni, meg papírozni, kéttanúzni, vérpecsétezni, stb.. Muszáj haladni a korral, mindig van, akinek ez nem tetszik, de az is mindig megtörik idővel, megszokja.

The world runs on Excel spreadsheets. (Dylan Beattie)

Ez baromság. Van egy korosztály (jellemzően idősebbek), akik nem technofóbok, de nem áll rá a kezük a tapicskolásra. Butafont még elnyomkodnak. Ellenben nem volna hátrány, ha be tudnának lépni néhány állami oldalra - pl. EESZT. De itt is vannak páran, akik tudatosan nem okostelefonoznak. OK, ők legalább nagy eséllyel számítógéppel rendelkeznek. És vannak bizony sokan olyanok, akikek nincs számítógépük, vagy éppen nincs elég modern számítógépük. Attól, mert te lenézed az XP-t vagy épp a Win7-et, meg ugye hamarosan a Win 10 támogatása is lejár, attól még sokan használnak ilyen gépeket. Velük mi lesz? (Van W7-re OATH-kliens?) Nem nagyon sokan, de véleményem szerint simán összemérhető akár a Linux-felhasználók számával ennek a csoportnak (nem okosteló, elavult OS-t használó gépes felhasználók) a nagysága.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

- Butafonra is van TOTP shared secret olvasó + TOTP kód generátor
- Mivel a TOTP kód generálása szabványos, ezért egy csomó ingyenes megoldás van rá (https://authenticator.cc/, https://github.com/2fast-team/2fast, https://totp.danhersam.com/, stb.). Ezek egy része működik windows 7-en is.
- Egyébként ennyi: https://www.youtube.com/watch?v=VOYxF12K1vE

Így van, ugyanazt írtad, amit én, csak más szavakkal, meg próbálod mentegetni. Lényegében nem áll rá a keze, meg tudatosan nem okostelefonozik, azaz szándékosan és makacsul ellenáll, csak azért se című játékot játszik, így meg magára vethet, ha nehézsége van, saját magukat szopatják meg ezek az emberek. Ezt a nehézséget ők választják be maguknak, azért nem kell megsajnálni őket.

Még az időseknél sem tudom elfogadni a jajj, nem áll rá a keze. Nem is kell ráállnia, telefont felvenni épp úgy tud rajta, meg SMS-ezni, max. az unoka beállítja neki a kétfaktort, meg a hitelesítő appot, azt csak akkor használja, ha tényleg szüksége van épp rá, Facebookozni, meg chat-elni nem kötelező a telón, mint egy tininek. Egyedül akkor nem abszolválható, ha valaki vak, vagy parkinsonos, és tényleg annyira remeg a keze, de az ilyenkor már nem elektronikus, hagyományos sem tudja intézni a saját ügyeit, ilyenekhez már évtizedekkel ezelőtt is gondnokot rendeltek ki.

Nincs modern számítógépük, akkor vagy vesznek, nem drága, ha nem a legújabb hype gent veszik meg, hanem egy elfogadható teljesítményű, használtat vagy a régire hajlandók Linuxot rakatni, megszokni, azzal is abszolválható. Ha ragaszkodnak a Win7-hez, meg egyéb muzeális régiségekhez, akkor megint: magára vethet, tudatosan választotta be magának makacssággal a problémákat.

The world runs on Excel spreadsheets. (Dylan Beattie)

Erős véleménybuborékban vagy.

Még manapság is ott tartunk az okostelefonokkal, hogy ha valaki nyüstöli őket, akkor 2 dolgot tehet a tulaj:
- Hord magával akku bankot. Egyik ismerősöm múltkor megmutatta a szó szerint féltégla méretű cuccát.
- Töltési lehetőség közelében marad.

Define: sokat.

Továbbá gondolom te is tisztában vagy vele, hogy a mobil / wifi lefedettség és térerő, jel / zaj viszony erősen befolyásolja, hogy mennyire merül a mobil eszköz. Másrészt a környezeti hőmérséklet is erős hatással bír az akkumulátorokból kivehető kapacitásra és élettartamukra.

De ahhoz, hogy ügyfélkap+-ozz, meg kétfaktorozd, ahhoz NEM kell a telót egész nap nyomni, mint a hülye. Ez a töltési lehetőség is fura kifogás, a legtöbb ember nem nagyon tölt sok időt olyan helyen, ahol nincs vagy konnektor, vagy valami más töltési lehetőség (járműnél). Aki kivételesen ennek ki van téve, mondjuk a munkája, vagy valami kapcsán, az meg ahogy írod is, gondoskodik magának powerbanról vagy ami kell, abból sem muszáj féltégla feltétlenül, igényfüggő.

The world runs on Excel spreadsheets. (Dylan Beattie)

A tanulás is jó megoldás - a TOTP egy jól dokumentált eljárás egy megosztott titok és időpont alapján történő egyedi kód generálására. Ezt akárki kvázi akármilyen nyelven megírhatja - nem az algoritmusban vagy az azt implementáló szoftverben van biztonsági kockázat, hanem a megosztott titok biztonaságos tárolásában azon az oldalon, ami ennek használatával szeretné magát azonosítani. Szóval ebben a 2FA-ban az a kérdés, hogy a secret tárolásában mennyire bízol meg, hogy azt harmadik fél nem tudja megszerezni.
A GA (és a Microsoft authenticator is) képes a "felhőbe" a saját fiókba menteni a secret-et, ami a biztonság egyik "lába" miatt (rendelkezésre állás) jó (mivel van mentésed), a másik miatt (bizalmasság) meg  nem annyira (harmadik félnél is ott van az adat, igaz a felhasználói fiókhoz történő hozzáférés korlátozott, illetve a fiókot kezelő entitásnak nem érdeke az egyén ezen azonosító adatát felhasználni).

Ennél biztonságosabb az, amit a DÁP valósít meg, az ugyanis egy külön csatornán (outband) kérdés-válasz alapon működve a teljes azonosítást elvégzi, nem csak egy második faktort biztosít.

 

( dentzol | 2024. 11. 16., szo – 11:22 )

"és új funkciókat kínál, például valós idejű értesítéseket és központi dokumentumtárat."

Többek között az ilyen pontatlanságok miatt sem kell komolyan venni ezeket az LLM-en alapuló eszközöket.

( n.balazs v | 2024. 11. 16., szo – 13:34 )

Bocsi, hosszú lesz.

Hogy picit a kérdéseidre is válaszoljak:
- A hitelesítő appok pont annyira biztonságosak, mint bármelyik szoftver. Lehet bennük hiba - akár a szoftverben, akár a szoftverfejlesztési folyamatukban, akár a háttérrendszerben, ahová az app ment / dolgozik. Sőt, az appstore-ban is lehet hiba, ami kihasználható.
- Az appok ellenőrzőiről nem sokat tudunk nyilvánosan. Vannak az appstore-ok, amik ellenőriznek bizonyos részeket. Mindemellett egyik appot se láttam eddig, hogy nyilvánosan auditálták volna. Jó lenne, ha ezek az audit jegyzőkönyvek nyilvánosan elérhetőek lennének - és most lóg bilibe a kezem. Másik topicban már pedzegettem a Common Criteria (CC) auditot. Ezen kívül más auditok és plecsnik is léteznek.
- Flame nélkül: az államapparátus kontraszelektált. Nem a legélesebb IT arcok dolgoznak ott - tisztelet a kevés és lelkes kivételnek. A kevés kivétel azok, akik életben tartják az állami / állami kötődésű IT-t. Én pont az államtól várnám el, hogy a legmagasabb minőséget képviselje. Kis pénz + kevés ember + közbeszerzés = kis foci. Én se bízok teljesen az államban, főképp annak néhány képviselőjében. Ezért is kerülöm például a DÁP-ot.
- Okostelefon nélkül is lehet élni. A TOTP tökéletesen működik nélküle. Lehet Ügyfélkapu+-ozni is. Perpillanat. 10-20-30 év múlva ez változhat.

Az ilyen könyvet ellő baromnak útilapu kell, nem a teljes user/password/2. faktor... Aki meg odaadja mégis, azt megkérdezni, (ezt már írtam korábban is), hogy egy paksaméta üres A4-es papírt aláírna-e, és odaadná-e a könyvelőjének, mellékelve minden személyes adatát hozzá? Mert az adatok ilyen átadásával pontosan ezt teszi. És ebben az esetben az esetleg a könyvelője által elkövetett bármilyen tevékenységért ő lesz a felelős, mivel az ő identitásával történik, nem pedig jogszerű meghatalmazás útján a könyvelő identitásával.

 

Szerintem elkülönül a cég és a személy. A gazdálkodó szervezetek (cégek) számára van a https://cegkapu.gov.hu/ cégkapu. A cégkapu a szervezethez kötött és a szervezet képviselője regisztrál be a cégkapu szolgáltatásra. A szervezetet regisztráló adhat ügykezelői jogosultságot természetes személynek. Ilyen lehet a könyvelő. A könyvelő a saját, személyes ügyfélkapu azonosításával fér hozzá a szervezet cégkapu szolgáltatásaihoz. A kérdés akkor az, hogy a könyvelő miért is kérné (kérhetné) el bárkitől a személyes ügyfélkapu hozzáférését?

Azt hiszem értem, de ha egyéni vállalkozó lennék, akkor biztosan saját kézben tartanám a dolgaimat. Azt gondolom, inkább a rendszer hibája, ha nem hozza létre az egyéni vállalkozók részére a személyes és a vállalkozói tevékenységhez tartozó bürokratikus ügyek intézésének elkülönítését. Ha ez így van, akkor - ahogy írod is - olyan megoldást választ mindkét résztvevő, ami számukra a legkényelmesebb. Még akkor is, ha mindketten tisztában vannak ennek a kockázataival. Ergo, az államnak kellene megteremtenie a megfelelő megoldást.

"Még akkor is, ha mindketten tisztában vannak ennek a kockázataival. "

Az a baj hogy 10-ból kilencen nincsenek tisztában azzal, hogy a teljes üfk+ hozzáférés olyan, mintha egy paksaméta üres A4-es lapot aláírva a könyvelőjének a kezébe nyomna, hogy használja amikor és amire csak akarja. Ugyanis ha Gipsz Jakab identitásával csinál bárki bármit, ahova a KAÜ-s login (üfk+) jó, azért elsődlegesen Gipsz Jakab állampolgár lesz a felelős, és ha ő ezt vitatja, akkor neki kell bizonyítania(!) hogy az identitását nem ő használta fel.

Vmelyik nav fuzetbe benne van, hogy mivel eleve az ev-nel nincs olyan eles hatar a vallalozas es a maganszemelyes dolgok kozott (trivialis pelda: szja), ott nem megoldhato a dolog. Aki ilyet akar, annak jogi szemely kell, ott teljesen elkulonul.

Domain, tárhely és webes megoldások: aWh

Valószínű, hogy a NAV álláspont adózási szempontból megállja a helyét, de szerintem más az ügykezelés kérdése. Azt gondolom a természetes személy saját neve alatt egyik esetben egyéni vállalkozóként jár el, míg magánügyei tekintetében magánszemélyként. Ha jól tudom a gazdasági tevékenysége során fel is kell tüntetnie a nyilvántartási számát és az E.V. jelölést. Talán nem jelentene komoly nehézséget a kettő elválasztása az elektronikus ügykezelésben, ahogy a cégek esetében.

( gabrielakos v | 2024. 11. 16., szo – 14:52 )

TOTP alkalmazással önmagában nem lenne probléma, a látszat ellenére nem kapcsolódik semmihez.
A baj akkor lehet amikor backupolni kellene a TOTP tartalmakat / kulcsokat. 

Gábriel Ákos

Ez is jó lenne, ha nem kerülne ennyibe:

 

Minden második vevő ennyit költ előttem a Aldi-ban. Csipszre és kólára.

Van annak egy diszkrét bája, amikor egy havi 1.5-2 milliót kereső programozó soknak tart 34e Ft-ot egy profi eszközért. Erre mondják, hogy aki rí, attól el kell venni.

( dnes v | 2024. 11. 17., v – 07:45 )

Én "ügyfélkapu+"-ra ezt használom. Nekem bevált.

Vettem párat ajándék gyanánt az említett 1 és 10 profilos eszközökből. Androidos nfc-s telefonról viszonylag egyszerűen programozható token. (Külön szoftver a 2 típushoz.) Sőt, úgy látom az e-személyihez megvett Reiner SCT is viszi.

A gyártói adatlap szerint 4-5 év a tokenek élettartalma. Az viszont nem egyértelmű, hogy time-sync okokból milyen gyakran kell majd újraprogramozni a tokeneket.

( Sanya v | 2024. 12. 07., szo – 05:16 )

Szerkesztve: 2024. 12. 07., szo – 05:17

ki ellenőrzi az appokat?

Ki ellenőrzi az appokat ellenőrzőket?

ki ellenőrzi azokat, akik ellenőrzik az appokat ellenőrzőket?

Ki ellenőrzi azokat, akik ellenőrzik az appokat ellenőrző ellenőrzőket??

Hosszú a sor.

( pirate | 2024. 12. 30., h – 16:36 )

A hozzáértőket kérdezem, hogy mennyire biztonságosak a hitelesítő appok?

Nem vagyok a tema szakertoje, de ha tegyuk fel tudom valahogy megtudom (backdoor az appban, stb.) a 2FA kodjaidat, azzal sokat nem erek, mert X perc alatt lejarnak es tudnom kell a jelszavadat vagy valamilyen masik faktort, hogy hasznalhassam a kodot.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ha az app-ból/tól el  lehet vinni a secret-et, vagy maga az app "hazaküldi", akkor megette a fene az egészet - harmadik fél is bármikor tud 2. faktort generálni.

Ja, ez igaz, ott a pont.

Jolenne ha a Google Authenticatorban at lehetne nevezni a kulobozo QR kodokhoz tartozo cimkeket, az lehet egy fokkal nehezitene az ilyesmit. Pl. a xyz@domain.abc helyett xyx@sajat lenne a felirat, aztan sok sikert parositani a generalt szamot az accounttal.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ne már. Ez komoly?

Sajnos igen :(

At tudok nevezni valami "code name" nevu mezot, ami az email cimet tarolja amihez az adott QR kod tartozik, that xyz@domain.abc-bol tudok csinalni xyz-t vagy akarmit, de pl. a roundcube 2FA eseten a generalt kod cimsora igy nez ki: Roundcube 2FA server.domain.abc: email@domain.abc, ami nagyon fasza ha tobb mint 1 db cimed van adott domain-en, mivel pont az email cim resz log ki es van helyettesitve 3 db ponttal... A hatterben levo "code name" atnevezheto, ami sehol sem jelenik meg, de ha ellopjak a kodot akkor gondolom ezt is viszik vele, de a cimsor ahol szinten szerepel az email nem nevezheto at.

MS Authenticator legalább ezt az átnevezést tudja.

Majd megnezem, mondjuk szivesebben hasznalok Google cuccot mint MS-t, nem mintha egyik jobb lenne mint a masik, de ha mar Android akkor maradjuk a Google-nel.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Az issuert (ami a példádban a"Roundcube 2FA server.domain.abc") az MS Auth sem fogja tudni átírni (szerintem így vannak tervezve).

Az más kérdés, hogy miért kell issuer-el (opcionális) generálni a qr kódot annak ami generálta és , hogy miért teszi bele a domain nevet is. 

( Sixday v | 2025. 01. 01., sze – 15:21 )

"A második a DÁP. A hozzáértőket kérdezem, hogy mennyire biztonságosak a hitelesítő appok? Kikik ellenőrzik az appokat biztonság tekintetében? Valahogy nem tudok megbízni egyik olyan szoftverben sem, amit az államapparátus erőltet ránk."

- DÁP helyett kétfaktoros authentikációra ott a Google Authenticator, nem az államapparátus erőlteti rád és kiválóan működik Ügyfékapu+ -al, mint ahogy azt hangsúlyozzák is.

"Mondjuk az egy másik izgalmas kérdés, hogy akinek nincs okos mobilja, az számkivetett lesz?"

Aki digitálisan elmaradott az majd szépen besétál a kormányablakba ugyanúgy ahogy eddig is tette valószínűleg. Egyébként állítólag januárban jön egy új feature, hogy email-t is lehet majd 2FA-re használni az Ügyfélkapun. Akinek meg az se jó az menjen szépen a hivatalba.

Biztonsági szempontból egy desktop/laptop windows (mivel a linux desktop éve ugye még mindig nem jött el :) mindig sokkal elmaradottabb lesz mint egy pár éves normális telefon.

Ha nincs rootolva a készülék, nem egy utolsó kínai nevenincs hulladékról beszélünk hanem valami márkásabb eszközről, és nincs minden szemét apk telepítgetve kézzel rá, akkor arra hogy illetéktelenek bele tudjanak kotorni a google authenticatorba abszolút minimális az esély.

Asztali gépen bármilyen fertőzésnek nagyságrendekkel magasabb az esélye egy átlagfelhasználó számára. Ezért helyezik 2FA esetén a fókuszt valamilyen mobilkészülékre.

Azt meg tudtad hogy böngészőben is van tiktok? :)

A TOTP alól a secret-et el lehet vinni, le lehet másolni, semmilyen technológiai kötöttség/garancia nincs ezeknek a biztonságos/védett tárolására. Egy kérdés-válasz alapon működő 2. faktor esetén használt kulcspár privát fele tpm-ben csücsül - sok sikert hozzá, ha onnan ki akarod szedni.

Szóval 2. faktorban is vannak szintek/különbségek, már ami a biztonságot, illetve a biztonságos (és jogszerű) használat kikényszerítését illeti.

Egy rendes tobb faktoros auth nem abbol all, hogy ismersz tobb jelszot. Lenyegesen jobb, ha 1) ismersz valalmit (pl. jelszo, kulcspar stb.), 2) van valamid (limitalt mennyisegu, masolhatatlan fizikai eszkoz), 3) ismer valaki (fuggetlen, megbizhato entitas, pl. Jozsibacsi a portas vagy Cujo)

A TOTP kulcsa is csak egy jelszo. Innentol annyit is er, amilyen bonyolult, es ahogyan taroljuk.

Pontosan. A kivezetésre ítélt e-személyis (hardvertoken) azonosítás esetén egy egy példányban létező hardver birtoklása és egy PIN kód ismerete kellett a "boldogsághoz", a DÁP esetén (nem próbáltam ki, hogy ugyanazt az identitást fel lehet-e húzni több készülékre) kell egy megfelelő mobil, amit fel kell tudni oldani, és kell az usernév/jelszó, plusz a 2. faktor nem offline generált kód, hanem kérdés-válasz alapon megy, azaz lehetősége van azonosítani az eszközt is. (Tippelem, hogy itt is cert alapon, mint ahogy egy normális hardvertokennél).
A sima totp az csak annyival jobb a user/pass párosnál, hogy nem két, hanem három információt kell megismernie a támadónak, melyeknek a biztonságos tárolása kizárólag a felhasználón múlik - a "birtoklás"-t teljesen kihagyja a működésből.

A totp esetén a shared secret-et a mobil eszközödön "birtoklod" amit egy független csatornán (képernyő/fotó) juttatnak el hozzád, és a birtoklás tényét úgy tudod bizonyítani hogy a shared secretből egy adott időpontban mindketten generáltok egy kódot, és azt a kódot megosztjátok egymással. Ha ez egyezik akkor a birtoklás ténye igazolva lett.

E mellett szükség van a felhasználónév és jelszó párosra is, a totp kód ezt nem váltja ki, így lesz két faktorod.

A "birtoklás"-on én adott fizikai eszközhöz való kizárólagos hozzáférést értek, a totp esetén ez részben sem teljeszül (nem kell fizikai eszköz, és nem kizárólagosan az érintett férhet csak hozzá), és mivel a shared secret ismerete elégséges a 2. faktor generálásához, így én ezt sokkal inkább a "tudás" kategóriába sorolom - pláne, hogy megosztható harmadik féllel/megismerhető harmadik fél által, és onnantól kezdve ez a harmadik fél is teljes azonosítást tud végezni a rendelkezésére álló információk birtokában.
 

"állítólag januárban jön egy új feature, hogy email-t is lehet majd 2FA-re használni az Ügyfélkapun."

Előre megyünk nem hátra. Ja, de. (A hardvertokenes (e-személyi) azonosítást kidobjuk, a több példányban is elkészíthető TOTP-t, meg a szintén nem 1:1 megfeleltetést adó e-mailt bevezetjük... (Randomkönyvelő fog egy gmail-es címet, és az ügyfeleknek csinál hozzá alias-t, és azt adja meg a 2. faktorhoz...)

 

Legyünk őszinték, a hardvertokenes azonosításról a felhasználók 99.9%-ának fingja nincs hogy egyáltalán micsoda, szóval itt már projektszervezési kérdés hogy mennyi task van, mennyi erőforrás és melyiknek mi a prioritása.

Az emailes 2FA pedig meg még mindig jobb mint az hogy egyáltalán nem volt 2FA.

( gabrielakos v | 2025. 01. 02., cs – 09:05 )

Megoldási javaslatom: bitwarden kliens és helyben hostolt vaultwarden. 
Tudja szépen a TOTP-t, szinkronizálja a klienseket, böngészőből is teljes értékűen használható.
Egész cég password kezelését (TOTP-vel együtt) jogosulságokkal, mindennel bele lehet tuszkolni, enterprise cucc.

Gábriel Ákos

Az uzenet sync nem csak ugy hoppa megtortenik, ha mar azt valaki idegen beallitha maganak, tulvagyunk par lepesen amit mind a user tolt el (kitudodott a jelszava, jovahagyta az idegen belepest, jovahagyta a sync bekapcsolasat idegen eszkozre)

Domain, tárhely és webes megoldások: aWh

Ha a user nem tolna el semmit, annak a több milliárd forintnak csak a töredékét tudták volna meg szerezni, amit (most már) tavaly lenyúltak, csak Magyarországon. Gondolom a szomszédos országokban is hasonló a helyzet.

Néha azaz érzésem, hogy nem csak a szavazáshoz lenne szükség egy alkalmassági teszt kitöltésére, de a mobil vásárláshoz* is.

*Digitális bankoláshoz, Dáphoz stb.